"Protection de la vie privée"

25/10/2020

Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :

D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !

Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :

  1. prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
  2. évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
  3. identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.

Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :

  1. la description du traitement est issue de l’atelier 1 ;
  2. l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
  3. l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
  4. les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.

01/06/2020

06/04/2020

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Il est diffusé par la CNIL : Télécharger

PIA

04/04/2020

Cette norme internationale définit le vocabulaire et les principes qui doivent être respectés par toute approche spécifique à la protection de la vie privée.

>Voir la norme (gratuite)

Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la protection de la vie privée.

>Voir la norme (payante)

01/04/2020

Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).

L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.

L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.

10/06/2019

Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :
> Télécharger

Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.

La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).

26/02/2018

Les guides PIA* de la CNIL ont été révisés pour outiller le Règlement général sur la protection des données (RGPD).
La démarche méthodologique est une application spécifique de la boîte à outils EBIOS à la protection de la vie privée.
Elle permet de bâtir et de démontrer la conformité au RGPD pour un traitement de données à caractère personnel.
Les guides (la méthode, les modèles, et les bases de connaissances) sont complétés par un logiciel libre, des études de cas, des lignes directrices, une foire aux questions, etc.

Sur le site de la CNIL : L’analyse d’impact relative à la protection des données (AIPD)
PIA

*PIA – Privacy Impact Assessment, ou analyse d’impact relative à la protection des données (AIPD) dans le contexte du RGPD.

17/03/2017

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :

ClubEBIOS-EtudeDeCas-Geolocalisation-2017-03-17-Approuve
> Télécharger

Mots-clés :

29/11/2011

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :

ClubEBIOS-EtudeDeCas-MedecineTravail-2011-11-29
> Télécharger

La plaquette suivante synthétise les points essentiels de l’étude de cas :

ClubEBIOS-EtudeDeCas-MedecineTravail-Plaquette-2011-09-27
> Télécharger

Mots-clés :